Seguridad

Troyano bancario Coper afecta a nuevas entidades alrededor del mundo.

Las aplicaciones del malware “Coper” tienen un diseño modular e incluyen un método de
infección en varias fases y muchas tácticas defensivas para evadir los intentos de eliminación. Originalmente iba dirigido a usuarios colombianos y fue descubierto alrededor de julio de 2021.

Desde Hispasec hemos analizado alguna de las últimas muestras de esta familia y la lista de entidades a las que afecta ha aumentado estrepitosamente. Ya no solo afecta a entidades colombianas, sino que han incluido cientos de entidades bancarias y exchange de criptomonedas europeos.

Servicios:

El troyano llama a la api GetSystemService para obtener información de servicios de android:

  • android.os.BatteryManager@7baf2b0
  • android.app.ActivityManager@730f5f3
  • android.app.AppOpsManager@b29c062
  • android.app.NotificationManager@61e193f
  • android.app.KeyguardManager@d455640
  • android.view.WindowManagerImpl@27a1583

Comprueba repetidamente que tenga todos los permisos:

  • android.permission.RECEIVE_SMS»,»5095″,»10073″
  • android.permission.READ_SMS»,»5095″,»10073″
  • «android.permission.RECEIVE_SMS»,»5095″,»10073″
  • «android.permission.READ_SMS»,»5095″,»10073″
  • «android.permission.CALL_PHONE»,»5095″,»10073″
  • «android.permission.SEND_SMS»,»5095″,»10073″
  • android.app.NotificationManager@61e193f

Por otro lado también comprueba si se está ejecutando en un entorno virtual, verifica si hay tarjeta SIM activa y comprueba el país de residencia del usuario a través de ip-api.com. Si una de estas comprobaciones falla, los droppers dejarán de funcionar inmediatamente.

En cuanto al C2, este contacta con «ip-api.com/json» via HTTP para obtener la IP del dispositivo donde se está ejecutando. Tras esta petición envía la información sobre el sistema donde se ejecuta al C2.

Como primera respuesta obtiene:

6v23FBePoOHfMwn/JMNXC6Xskf9h50vk6w8bTd9BUem2/RGScqcRaSFTVBAWLiCh3SEXtIqLxzmJ6ci
QjiQiiGpdllSuWo+2EdgsjM7Ihpfd3WVanFDHALY8VEk/m8eT

Trás descifrarlo corresponde a:

{«response»:»er1″,»tasks»:[],»panel_smarts_ver»:»46″,»keylogger_enabled»:null,»net_delay»:»60″}

El C&C registra a la víctima y una vez que se ha completado el receiver_Registered y el
acsb_system_init devuelve la lista de aplicaciones a atacar.

Cabe destacar que algunas muestras de las analizadas utilizan la técnica ya conocida como ‘overlays‘, aunque algunas otras también utilizan VNC para iniciar los servicios de grabación de pantalla.

Desde Hispasec recomendamos encarecidamente que tengan especial cuidado al descargar aplicaciones no legítimas y que notifiquen a sus bancos cualquier actividad inusual o sospechosa.

La entrada Troyano bancario Coper afecta a nuevas entidades alrededor del mundo. se publicó primero en Una al Día.

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.